SQL注入漏洞总结 漏洞概述 漏洞名称: SQL Injection in Order By Clause CVE ID: CVE-2025-33083 严重程度: High 受影响版本: <2.10.21 修复版本: 2.10.21 影响范围 漏洞描述: 在DataEase v2.10.20中, 参数存在SQL注入漏洞。攻击者可以通过构造恶意请求,执行任意SQL命令。 受影响端点: - Enum Values: - Dataset Export: - Root Cause Component: 任何使用 进行SQL生成的组件 修复方案 补丁: 升级到版本2.10.21 临时措施: 在 中,仅允许 和 作为 参数的值 利用代码(POC)